APP PARA GRABAR LA PANTALLA EN GOOGLE PLAY SE CONVIERTE EN MALICIOSA A TRAVÉS DE UNA ACTUALIZACIÓN

Investigadores de ESET descubrieron una aplicación troyanizada para Android que había estado disponible en la tienda Google Play con más de 50,000 instalaciones. La aplicación, llamada iRecorder – Screen Recorder, se cargó inicialmente en la tienda sin funcionalidad maliciosa el 19 de septiembre de 2021. Sin embargo, parece que la funcionalidad maliciosa se implementó más tarde, muy probablemente en la versión 1.3.8, que estuvo disponible en agosto de 2022.

Puntos clave de esta publicación:

• Como socio de Google App Defense Alliance, detectamos una aplicación troyanizada disponible en la tienda Google Play. Se trata de un malware basado en AhMyth al que hemos denominado AhRat.
• Inicialmente, la aplicación iRecorder no tenía funciones maliciosas. Lo que es bastante poco común es que la aplicación recibiera una actualización con código malicioso varios meses después de su lanzamiento.
• El comportamiento malicioso específico de la aplicación involucra la extracción de grabaciones del micrófono y el robo de archivos con extensiones específicas, lo que indica su potencial participación en una campaña de espionaje.
• La aplicación maliciosa con más de 50 000 descargas se eliminó de Google Play después de nuestro reporte y desde entonces no hemos detectado actividad de AhRat en ningún otro lugar.

Es raro que un desarrollador cargue una aplicación legítima, espere casi un año y luego la actualice con un código malicioso. El código malicioso que se agregó a la versión limpia de iRecorder se basa en el código abierto del RAT (troyano de acceso remoto) para Android AhMyth y ha sido personalizado en lo que llamamos AhRat.

Además de este caso puntual, no hemos detectado actividad de AhRat en ningún otro lugar. Sin embargo, no es la primera vez que detectamos malware para Android basado en AhMyth disponible en Google Play, ya que en 2019 también publicamos una investigación sobre una aplicación troyanizada basada en el código de AhMyth. En ese entonces, se trataba de un spyware que logró eludir dos veces el proceso de verificación de aplicaciones de Google enmascarándose como una aplicación de streaming de radio.

Descripción general de la app

Además de proporcionar una funcionalidad de grabación de pantalla legítima, la app maliciosa iRecorder puede grabar el audio circundante desde el micrófono del dispositivo y cargarlo en el servidor de comando y control (C&C) del atacante. También puede exfiltrar desde el dispositivo archivos con extensiones que representan páginas web guardadas, imágenes, archivos de audio, video y documentos, y formatos de archivo utilizados para comprimir varios archivos. El comportamiento malicioso específico de la aplicación (exfiltración de grabaciones de micrófonos y robo de archivos con extensiones específicas) tiende a sugerir que es parte de una campaña de espionaje. Sin embargo, no pudimos atribuir la aplicación a ningún grupo malicioso en particular.

Como socio de Google App Defense Alliance, ESET identificó la versión más reciente de la aplicación como maliciosa y rápidamente compartió sus hallazgos con Google. Luego de nuestro reporte la aplicación fue eliminada de Google Play.

Distribución

La aplicación iRecorder se llegó a la tienda Google Play el 19 de septiembre de 2021 ofreciendo la función de grabación de pantalla, pero no contenía características maliciosas. Sin embargo, alrededor de agosto de 2022 detectamos que el desarrollador de la aplicación incluyó una funcionalidad maliciosa en la versión 1.3.8. Como se observa en la Figura 1, para marzo de 2023, la aplicación había acumulado más de 50 000 instalaciones.